Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant MacSync

Logiciel malveillant MacSync

Par Mezo en Logiciels malveillants, Les voleurs
Se traduisent par :

MacSync est une version rebaptisée et améliorée du voleur mac.c, apparu pour la première fois au printemps 2025. Un mois plus tard, le malware a refait surface sous son nouveau nom. S'il conserve les capacités de vol de données de son prédécesseur, MacSync introduit un composant de porte dérobée supplémentaire. Il est à noter que le voleur original a été développé en C, tandis que le module de porte dérobée est écrit en Go, ce qui souligne son évolution vers une structure modulaire et plus sophistiquée.

Propagation mondiale via les arnaques ClickFix

MacSync a été identifié dans le monde entier, avec des infections concentrées en Ukraine, aux États-Unis, en Allemagne, au Royaume-Uni et en Espagne. Le malware se propage principalement via des arnaques ClickFix, qui incitent les victimes à exécuter des commandes malveillantes sur leurs systèmes. Une fois exécutée, MacSync commence son processus d'infiltration en affichant une fausse invite de mot de passe pour tenter de récupérer les identifiants de l'appareil.

Double fonctionnalité : vol de données et contrôle à distance

Après avoir sécurisé l'accès, MacSync déploie sa porte dérobée basée sur Go. Ce composant se connecte à un serveur de commande et de contrôle (C&C), permettant aux attaquants d'exécuter des commandes à distance. Parallèlement, le module de vol de données collecte des informations sensibles telles que :

  • Dossiers personnels
  • Identifiants de connexion
  • Portefeuilles de crypto-monnaie

Pour échapper à la détection et entraver l’analyse, MacSync utilise l’obscurcissement du code et efface les fichiers temporaires liés à ses opérations.

L’objectif du module de porte dérobée

Les portes dérobées sont conçues pour donner aux cybercriminels un accès secret aux systèmes compromis. La porte dérobée de MacSync facilite non seulement l'exécution de commandes à distance, mais ouvre également la porte à d'autres modules malveillants. Cette approche modulaire accroît considérablement le potentiel du logiciel malveillant à étendre ses capacités et à compromettre davantage les systèmes infectés.

Prolifération au-delà de ClickFix

Bien que les arnaques ClickFix sur le thème de Cloudflare demeurent le principal vecteur de propagation, les chercheurs avertissent que MacSync pourrait se propager via de multiples méthodes. Les cybercriminels ont fréquemment recours au phishing et à l'ingénierie sociale pour déguiser des logiciels malveillants en fichiers ou applications légitimes.

Certaines des techniques d’infection les plus courantes comprennent :

  • Escroqueries en ligne, publicités malveillantes et téléchargements trompeurs
  • Sites de logiciels gratuits suspects, sources de téléchargement tierces et réseaux P2P
  • Liens ou pièces jointes malveillants dans les messages de spam
  • Fausses mises à jour et activation illégale de logiciels (« cracks »)
  • Propagation à travers les réseaux locaux et les lecteurs amovibles (clés USB, disques durs externes, etc.)

Réflexions finales

MacSync marque une évolution significative par rapport à son prédécesseur mac.c en combinant des opérations de vol de données avec des fonctionnalités de porte dérobée. Sa conception modulaire et ses larges méthodes de distribution en font une menace particulièrement dangereuse. Les utilisateurs doivent rester vigilants face aux campagnes de phishing, aux téléchargements suspects et aux fausses mises à jour, car elles restent les principales portes d'entrée de ce malware.

Tendance

Alerte concernant une arnaque par e-mail concernant...

Hameçonnage, Courrier indésirable
Les cybercriminels continuent d'exploiter le courrier électronique comme l'un des outils les plus efficaces pour hameçonner. Une campagne d'e-mails frauduleuse, baptisée « Alerte concernant vos identifiants système », a été observée, incitant les utilisateurs à divulguer leurs identifiants de connexion. Ces messages frauduleux ne sont affiliés à aucune entreprise, organisation ou fournisseur de...

Le plus regardé

Chargement...